“黄金眼”行动 - 针对国内金融行业的历史定向攻击活动技术分析

奇安信威胁情报中心发布“黄金眼”行动 - 针对国内金融行业的历史定向攻击活动技术分析报告，转到文末【阅读原文】获取高清PDF版本报告。

2020年9月，上海证券报一则针对金融证券等行业实施定向攻击长达十余年以牟取暴利的新闻吸引了网民的眼球（《用木马窥视基金交易指令，干了12年！…》^[1]）

这一案件的背后，就是被奇安信威胁情报中心命名为“黄金眼”的网络攻击行动。这项攻击行动，时间跨度长，影响面巨大，是一起罕见的以获利为目的、针对金融全行业的APT攻击。随着本案涉案人员的落网和尘埃落定，本文将公开我们多年前对此攻击活动的发现、挖掘和关联所得的部分结果，以使安全和金融业界这个APT攻击的技术面有个比较完整的了解，也希望安全社区能够一起补充视野。

2015年，奇安信安服团队的前身接到客户应急处理的需求，提取了该攻击行动中涉及的恶意代码和高可疑网络活动的数据线索，与威胁情报中心红雨滴团队（原天眼实验室）共同分析挖掘，确认这是一个国内黑客组织针对我国证券基金、保险相关机构进行的长期的网络间谍活动。该组织主要关注证券相关金融行业，其中包括市场上几个主要证券服务公司。攻击团伙对所渗透的网络资产进行长期地秘密控制，读取数据牟利。